腾讯云DDOS高防IP转发规则和配置

操作步骤

第一步:登录控制台高防IP配置页面

1.在左侧导航选择“安全与管理 > 高防IP”,进入“高防IP列表”页面。

2.选择需要设置转发规则的高防IP实例,点击“”按钮配置转发规则。

3.进入转发设置页面然后选择“创建转发规则”,支持单条添加与批量添加。批量添加后,可以在转发规则列表页快速录入证书和CC防护模版。

4.根据用户需求选择相应的协议连接高防中心,网站防护支持配置HTTP、HTTPS、WebSocket、WebSockets协议,非网站防护支持配置TCP、UDP协议,用户根据业务情况设置前端端口。

第二步:转发规则的确定

具体转发规则:

 

前端协议[端口]:指定高防中心监听的协议和端口(即用户最终想通过什么协议和端口来访问高防中心)。端口输入范围为1~65535间的整数。

回源协议[端口]:指定后端服务器提供服务的协议和端口。高防中心转发请求至目标服务器,目标服务器监听的端口,端口输入范围为1~65535间的整数。

转发规则:加权轮询:依据后端服务器的权重,将请求轮流发送给后端服务器。

最小连接数:优先将请求发给拥有最少连接数的后端服务器。
源IP:仅针对前端协议配置为TCP和UDP的情况,将请求的源IP进行hash运算后派发请求至某匹配的服务器,这可以保证同一个客户端IP的请求始终被派发至某特定的服务器。源IP算法为TCP和UDP监听器提供会话保持机制。

1.非网站类业务新建转发规则

用户选择非网站类业务,即在非网站防护内前端协议选择TCP或UDP协议,填写前端端口,然后填写回源IP和回源端口,最后选择转发规则。

注意:

  • 非网站类业务不支持配置80/443端口;
  • 转发规则包括加权轮询、最小连接数、源IP,以实现多源站的负载均衡。

2.网站类业务新建转发规则

用户选择网站类业务,即选择HTTP或HTTPS协议,则需要填写域名,只有配置域名的HTTP和HTTPS才会被转。

  • 2.1 创建CC防护模版,配置CC防护模式、自定义访问策略及IP黑白名单
  • 2.2 当前端协议选择为HTTP时,填写前端端口、域名、回源IP和回源端口,最后选择转发规则并设置回源超时时间,并选择CC防护策略模版
  • 2.3 当前端协议选择为HTTPS时,相对于HTTP协议,会多出一个HTTPS证书选项,用户可以选择自有证书,也可以添加证书和申购SSL证书。

注意:

  • 回源协议默认和前端协议保持一致,特别说明若前端协议为HTTPS,回源协议为HTTP
  • 高防中心会将数据转发至源站,通过源站业务的IP地址和端口。且回源IP最多设置50个
  • 回源IP不能为私有IP地址、127.0.0.1等特殊IP地址
  • 转发规则包括加权轮询、最小连接数,以实现多源站的负载均衡。
  • TCP/UDP转发下没有CC防护功能黑名单定义:满足条件的停止一切访问;白名单定义:满足条件的跳过所有防护策略

第三步:健康设置

1.非网站类业务选择TCP健康检查协议,并按照提示完成相应的设置。

注意:

  • 响应超时时间和健康检查间隔的输入范围为1~60间的整数,建议设置为3秒。
  • 不健康阈值的选择范围为2~5的整数,表示连续健康检查失败次数,超过这个阈值,服务器将被认定为异常,从服务器池中摘除,直到恢复正常。
  • 健康阈值的选择范围为2~5的整数,表示连续健康检查成功次数,超过这个阈值,服务器将被认定为异常排除,重新加入服务器池。

2.网站类业务选择HTTP健康检查协议,按照要求完成相应的设置。

注意:

  • Host头域中需要填写发往后端服务器的健康检查请求的Host头域,默认为空。
  • 检查端口输入范围为1~65535间的整数,如果不指定则使用后端服务器的端口进行健康检查。
  • 检查路径,用于健康检查页面文件的URI,建议对静态页面进行检查。长度限制为1-80个字符,只能使用字母、数字、‘-’、‘/’、‘.’、‘%’、 ‘?’、‘#’、‘&’这些字符。
  • 响应超时时间和健康检查间隔的输入范围为1~60间的整数,建议设置为3秒。
  • 不健康阈值的选择范围为2~5的整数,表示连续健康检查失败次数,超过这个阈值,服务器将被认定为异常,从服务器池中摘除,直到恢复正常。
  • 健康阈值的选择范围为2~5的整数,表示连续健康检查成功次数,超过这个阈值,服务器将被认定为异常排除,重新加入服务器池。
  • 正常状态码的选项不能为空。

标签